Schutz der Server vor Ransomware

Originalbeitrag von Trend Micro

Dies ist der letzte Teil einer Serie von Beiträgen zu den unterschiedlichen Techniken, die Ransomware für die Angriffe nutzt. Diese Techniken zeigen, dass der beste Weg zur Verteidigung gegen dieses Risiko ein mehrschichtiger Schutz an verschiedenen Punkten im Unternehmen darstellt: vom Gateway bis zu den Endpunkten, Netzwerken und Servern.

Der Sicherheitsbericht für das erste Halbjahr 2016 stellt fest, dass mehr als die Hälfte der durch Ransomware verschlüsselten Dateitypen einen direkten Bezug zu Unternehmen haben – etwa Datenbankdateien, SQL-Dateien und Webseiten auf Servern zählten zu den Angriffszielen. All diese Dateien liegen auf Servern, und das bedeutet, dass Ransomware auf Servern eine große Gefahr darstellt, mit der sich Unternehmen auseinandersetzen müssen.

Die weiteren Teile der Serie sind unter folgenden Links zu finden:

Über Endpunkte betroffen

Server sind zum Teil auch indirekt von die Aktionen von Ransomware auf den Endpunkten in demselben Netzwerk betroffen. File Shares gelten als beliebte Möglichkeit dazu. Ransomware-Familien suchen explizit nach verfügbaren Netzwerkfreigaben, und abhängig vom Verhalten der Erpressersoftware kann dies schließlich auch die Server betreffen.

Im Visier von Exploits

Darüber hinaus besteht aber auch das Risiko, dass Server direkt angegriffen werden. Hier geht es nicht um die üblichen, von Ransomware genutzten Angriffsvektoren (wie Phishing-Kampagnen und Malvertising). Stattdessen laufen die Angriffe über Sicherheitslücken. Ein Beispiel dafür, wie Server ins Visier von Ransomware geraten, waren die Angriffe der SAMSAM-Ransomware auf Krankenhäuser. Dabei wurden Sicherheitslücken in JBoss (einem Java-basierten Webanwendungsserver) missbraucht, um Zugang zu den Servern innerhalb der Organisation zu erlangen. Den Servern wurden Webshells hinzugefügt, sodass die Angreifer die Fernkontrolle über diese Systeme erhielten. Danach wurden die Dateien auf dem Server zum Ziel für Verschlüsselung, oder die Eindringlinge konnten auch später versuchen, sich innerhalb des Netzwerks lateral zu bewegen und weitere lukrative Ziele zu finden.

Ein Angriff auf Server erfordert mehr Zeit und Mühe als die üblicheren Ransomware-Bedrohungen benötigen, die auf einzelne Systeme zielen. Andererseits ist bei ersteren der Profit höher. So zahlte etwa das Hollywood Presbyterian Medical Center (in Los Angeles) im Februar 2016 40 BTC (17.000 $) Lösegeld

Brute-Force-Angriffe

Doch nicht nur angreifbare Anwendungen stellen eine Bedrohung für Organisationen und deren Server dar. Kürzlich gab es Berichte darüber, dass die FAIRWARE-Schädlingsfamilie sich mit Brute Force Zugang zu Servern verschafft hatte. Der Angriff galt vor allem Webservern, und das Lösegeld sollte zwei BTC betragen.

Auch die Crysis-Ransomware-Familie startete Brute-Force-Angriffe auf Systeme, deren Remote Desktop Protocol (RDP)-Ports offen waren. Dabei können sowohl Desktops als auch Server betroffen sein. Ein Angreifer könnte sich über diese kompromittierte Maschine Zugang zum Netzwerk verschaffen und dann weitere Attacken fahren.

Das Risiko lässt sich durch Sicherheitslösungen mindern, die verdächtige Aktivitäten im Netzwerk erkennen, aber auch mithilfe von entsprechenden Best Practices. Des Weiteren helfen auch vom Standard abweichende Passwörter und das Verbot von Remote-Logins.

Ähnlichkeiten zu gezielten Angriffen

Die Gemeinsamkeiten sind offensichtlich: Es werden Mittel eingesetzt, um sich Zugang zur Organisation zu verschaffen, danach wird dieser Zugriff dafür genutzt, um weitere Informationen über das Ziel zu sammeln. Sobald ein passendes Opfer gefunden ist, werden die nötigen Aktionen angestoßen – für gezielte Angriffe ist dies Diebstahl, für Ransomware Verschlüsselung.

Das lässt darauf schließen, dass einige der Lösungen gegen gezielte Angriffe auch als Schutz vor Ransomware helfen. Als besonders effizient gilt eine durchdachte Patch Managementstrategie.

Patching kommt häufig zu spät

Jedes Unternehmen kennt den Balanceakt zwischen dem Schutz der Unternehmensumgebung und dem Aufrechterhalten des Geschäftsbetriebs. Wird ein Patch veröffentlicht, so muss er zuerst getestet werden, bevor er tatsächlich auf die Systeme aufgespielt wird. Dafür müssen geschäftskritische Systeme und Server zudem neu gestartet werden, und das kann zu einer Unterbrechung des Geschäftsbetriebs führen.

Um diese Herausforderungen zu meistern, gibt es das so genannte Virtuelle Patching. Wenden Unternehmen neue Patches nicht sofort an, so sind ihre Server damit trotzdem gegen Krypto-Ransomware geschützt. Mit dieser Technologie können IT-Administratoren angreifbare Server und Endpunkte schützen, ohne Downtime und zusätzliche Betriebskosten.

Serverlösungen

Es gibt kein Allheilmittel gegen Ransomware. Eine mehrschichtige Verteidigungsarchitektur stellt den wohl am besten geeigneten Weg dar, um mit Ransomware fertigzuwerden und das Risiko gering zu halten. Die einzelnen Schritte beinhalten Mail- und Webschutz, Endpoint-Schutz, eine Netzwerklösung und auch Schutz für die Server.

Trend Micro Deep Security™ stellt eine erstklassige Lösung dar, die die Risiken für Server, verursacht durch Ransomware, minimieren kann, unabhängig davon, ob die Systeme physisch, virtuell oder in der Cloud vorhanden sind. Drei bestimmte Funktionen sind für den Schutz verantwortlich:

  • Erkennen und Verhindern von verdächtiger Aktivität: Versucht eine Ransomware in einem Datacenter Fuß zu fassen (z.B. über kompromittierte Nutzerkonten und der Verbindung zu einem Datei- oder Webserver), so kann Deep Security verdächtige Aktivitäten im Netzwerk erkennen und aufhalten, sowie einen Alert dazu auslösen.
  • Vulnerability Shielding: Diese Funktionalität schützt Server und Anwendungen vor Ransomware-Angriffen mit einem Schutzschild vor Exploits für bekannte Software-Sicherheitslücken. Sie werden „virtuell gepatcht“, bis ein Patch oder Fix aufgespielt werden kann.
  • Erkennen von lateralen Bewegungen: Sollte es Ransomware dennoch ins Datacenter schaffen, so kann Deep Security die Auswirkungen minimieren, indem die Lösung den Schädling erkennt und daran hindert, sich auf weitere Server zu auszubreiten.

Trend Micro Deep Security umfasst eine Virtual Patching-Funktion mit Intrusion Detection and Prevention (IDP)-Technologie. Weil Bedrohungen und Angriffe, die Sicherheitslücken nutzen, immer mehr werden, stellt virtuelles Patching eine unabdingbare grundlegende Notwendigkeit dar, ähnlich wie früher Antivirus und Firewalls.

Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.

Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Die weiteren Teile der Serie sind unter folgenden Links zu finden:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*